將上游登錄檔與 Amazon ECR私有登錄檔同步 - Amazon ECR
儲存庫建立範本使用提取快取規則的考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將上游登錄檔與 Amazon ECR私有登錄檔同步

使用提取快取規則,您可以將上游登錄檔的內容與 Amazon ECR私有登錄檔同步。

Amazon ECR目前支援為下列上游登錄建立提取快取規則。

  • Docker Hub、Microsoft Azure Container Registry、 GitHub Container Registry 和 GitLab Container Registry (需要身分驗證)

  • Amazon ECR Public、Kubernetes 容器映像登錄檔和 Quay (不需要身分驗證)

對於 GitLab 容器登錄檔,Amazon 僅ECR支援使用 GitLab software-as-a-service offering, GitLab.com 提取快取。

對於需要身分驗證的上游登錄,您必須將憑證存放在 AWS Secrets Manager 秘密中。Amazon ECR主控台可讓您輕鬆地為每個已驗證的上游登錄檔建立 Secrets Manager 秘密。如需使用 Secrets Manager 主控台建立 Secrets Manager 秘密的詳細資訊,請參閱 將上游儲存庫憑證存放在 AWS Secrets Manager 秘密中

建立上游登錄檔的提取快取規則後,只需使用 Amazon ECR私有登錄檔 從該上游登錄檔提取映像即可URI。ECR 然後,Amazon 會在您的私有登錄檔中建立儲存庫並快取該映像。在具有指定標籤的快取映像的後續提取請求上,Amazon 會ECR檢查上游登錄檔,查看是否有具有該特定標籤的新映像版本,並至少每 24 小時嘗試更新一次私有登錄檔中的映像。

儲存庫建立範本

Amazon ECR 已新增對儲存庫建立範本的支援,可讓您使用提取快取規則,為 Amazon ECR代表您建立的新儲存庫指定初始組態。每個範本都包含一個儲存庫命名空間字首,用於將新儲存庫與特定範本匹配。範本可以指定所有儲存庫設定的組態,包括資源型存取政策、標籤不變性、加密和生命週期政策。儲存庫建立範本中的設定只會在建立儲存庫期間套用,對使用任何其他方法建立的現有儲存庫或儲存庫沒有任何影響。如需詳細資訊,請參閱用於控制提取快取或複寫動作期間建立的儲存庫的範本

使用提取快取規則的考量

使用 Amazon ECR 提取快取規則時,請考慮下列事項。

  • 下列區域不支援提取快取規則的建立。

    • 中國 (北京) (cn-north-1)

    • 中國 (寧夏) (cn-northwest-1)

    • AWS GovCloud (美國東部) (us-gov-east-1

    • AWS GovCloud (美國西部) (us-gov-west-1

  • AWS Lambda 不支援ECR使用提取快取規則從 Amazon 提取容器映像。

  • 使用提取快取提取映像時,Amazon ECRFIPS服務端點在第一次提取映像時不受支援。不過,使用 Amazon ECRFIPS服務端點會在後續提取作業上運作。

  • 透過 Amazon ECR私有登錄檔 提取快取映像時URI,映像提取會由 AWS IP 地址啟動。這可確保映像提取不會計入上游登錄檔實作的任何提取速率配額。

  • 透過 Amazon ECR私有登錄檔 提取快取映像時URI,Amazon 至少每 24 小時ECR檢查一次上游儲存庫,以確認快取映像是否為最新版本。如果上游登錄檔中有較新的映像,Amazon ECR會嘗試更新快取映像。這個計時器是基於快取映像的最後一次提取。

  • 如果 Amazon ECR 因任何原因無法從上游登錄檔更新映像,並提取映像,則仍會提取最後一個快取映像。

  • 建立包含上游登錄檔憑證的 Secrets Manager 秘密時,秘密名稱必須使用 ecr-pullthroughcache/ 字首。秘密也必須位於在其中建立提取快取規則的相同帳戶和區域中。

  • 使用提取快取規則提取多架構映像時,資訊清單清單和資訊清單清單中參考的每個映像都會提取至 Amazon ECR儲存庫。如果只想提取特定架構,您可以使用與架構相關聯的映像摘要或標籤 (而不是與資訊清單相關聯的標籤) 來提取映像。

  • Amazon ECR使用服務連結IAM角色,提供 Amazon ECR建立儲存庫、擷取 Secrets Manager 秘密值以進行身分驗證,以及代表您推送快取映像所需的許可。建立提取快取規則時,會自動建立服務連結IAM角色。如需詳細資訊,請參閱適用於提取快取的 Amazon ECR服務連結角色

  • 根據預設,提取快取映像的IAM主體具有透過其IAM政策授予他們的許可。您可以使用 Amazon ECR私有登錄檔許可政策來進一步範圍IAM實體的許可。如需詳細資訊,請參閱使用登錄檔許可

  • 使用提取快取工作流程建立的 Amazon ECR 儲存庫會被視為任何其他 Amazon ECR儲存庫。支援所有儲存庫功能,例如複寫和映像掃描。

  • 當 Amazon 使用提取快取動作代表您ECR建立新的儲存庫時,除非有相符的儲存庫建立範本,否則下列預設設定會套用至儲存庫。您可以使用儲存庫建立範本來定義套用至 Amazon ECR代表您建立之儲存庫的設定。如需詳細資訊,請參閱用於控制提取快取或複寫動作期間建立的儲存庫的範本

    • 標籤不變性 — 關閉,標籤為可變並且可覆寫的。

    • 加密 — 使用預設 AES256 加密。

    • 儲存庫許可 — 已省略,不套用儲存庫許可政策。

    • 生命週期政策 — 已省略,不套用生命週期政策。

    • 資源標籤 — 已省略,不套用任何資源標籤。

  • 使用提取快取規則開啟儲存庫的影像標籤不可變性,可防止 Amazon 使用相同的標籤ECR更新影像。

  • 第一次使用提取快取規則提取映像時,可能需要路由至網際網路。在某些情況下,需要路由至網際網路,因此最好設定路由以避免任何失敗。因此,如果您已設定 Amazon ECR 使用介面VPC端點 AWS PrivateLink ,則需要確保第一次提取具有網際網路的路由。其中一個方法是在相同的 中建立公有子網路VPC,並使用網際網路閘道,然後將所有傳出流量從其私有子網路路由到公有子網路。使用提取快取規則提取的後續映像不需要此項目。如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的路由選項範例